Mitte kaua aega tagasi Voxi veebisaiti häkiti paljastades sellega paljude erakonnaga seotud inimeste isikuandmed ja nüüd tuleb taas kordada tundliku ja privaatse teabe avastamist: mis kuulub erakonna kasutajatele. Valencia metroorakendus.
API viga: rakenduse auk
Turvaauk sisse ametlik metroorakendus ja Valencia tramm on olnud isikuandmete väljapääsuks ligi 60.000 XNUMX kasutajat - öeldakse varsti. Ebaõnnestumise avastas insener, kes ei kõhelnud olukorra kohtus hukka mõistmast, süüdistades FGV-d (Ferrocarrils de la Generalitat Valenciana) ja Proconsit (äpi arendanud ettevõtet) isikuandmete kaitse õiguse rikkumises. .
Nagu meedium kogub Valencia väljak, kaebusega on kaasas uuring ja tõrke selgitus "punkt-punktilt" mis oleks viga rakenduse API-s. Samuti on saadetud kiri Hispaania andmekaitseametile (AEPD).
Avaldatud andmed on väga mitmekesised ja hõlmavad kõike alates e-posti aadressist, soost või metroos sõitnud kordade arvust kuni tema täisnime, ID-numbri, sünnikuupäeva, postiaadressi ja telefoninumbrini.
API kaitse eemaldamine (see ei nõua mingit tüüpi autentimist) võimaldab igaühel teha a päring serverile pole suuremat probleemi. Insener on näidanud eelmainitud Valencia müügipunktile, et kõigi registreeritud kasutajate andmetele pääseb ligi suhteliselt lihtsalt. Kahtlustatakse, et ka selle hankimine oleks üsna lihtne krediitkaardi number reisijatest (kuna see kirje on samuti olemas ja seda on võimalik näha Aegumiskuupäevad ja pank, kuhu nad kuuluvad), kuid insener pole seda üritanud teha, "et mitte kuritegu toime panna".
Anonüümseks jääda eelistav insener on kritiseerinud, et see pole midagi muud kui rakenduse loomine usaldatud inimestele, kes ei ole kvalifitseeritud selle jaoks:
Autentimine on kõige eelduseks tarkvara privaatset teavet käsitlev avalik juurdepääs ja antud juhul on tagajärgedele mõtlemata otsustatud mitte ühtegi autentimist rakendada. […] ei ole välja töötanud kvalifitseeritud spetsialistid.
Asja tõsiduse demonstreerimiseks valib insener oma ettekandes juhuslikult inimese, kelle hulgast üksikasjad kõik tema liigutused. Seega on näha, et Valencia metroos on üks kasutaja, kes elab La Riberas, sõidab metrooga iga päev samal kellaajal ja sõidab temaga Valencia kesklinna, kus asub tema töö – tema e-post võimaldab meil avaldada ka need andmed. Pärastlõunal naaseb ta oma linna Plaza de España peatusest metrooga.
Aktsiaselts Ferrocarrils de la Generalitat Valenciana ütleb rekord puudub selle otsuse kohta või kaebuse esitamise kohta. Ainus asi, mis tuvastab, et märtsikuus, kui rakendus käivitati, oli viga, kuid see on juba parandatud.
Kui kasutate Valencia metrood ja teil on rakendussisse El Confidencial korja üles inseneri soovitused, kes soovitab seda tungivalt desinstallige ja kustutage kõik rakendusega seotud andmed kuni selle turvaaugu ametliku tunnustamiseni ja lahenduseni.